アート・コビエロ氏
EMC エグゼクティブバイスプレジデント兼RSA, The Security Division of EMCプレジデント

「単独のセキュリティベンダが今後、生き残っていくことは難しい」- 22日、RSAセキュリティとEMCジャパンが主催したプレス向けラウンドテーブルの席上で、アート・コビエロ(Arthur Coviello)氏は、やや挑発的なフレーズでセキュリティ業界の現状を語り始めた。コビエロ氏は、2006年に米EMCに買収された米RSAのCEOだった人物で、現在は"RSA, The Security Division of EMC"のプレジデントとEMCのエグゼクティブバイスプレジデントを兼務する。長年に渡り、ワールドワイドでセキュリティ業界を牽引してきた同氏は、業界の流れが大きく変わろうとしている今こそ、「情報の価値」に焦点を当てたセキュリティ対策を行うべきだと主張した。

1982年にRSA Data Securityが創業されて以来、何度も買収・合併や社名変更を繰り返してきたRSAだが、現在は世界最大手のストレージベンダであるEMCの一部門として存在する。同社の変遷をざっと眺めるだけで、セキュリティベンダが単独で存在し続けることがいかに難しいか、おぼろげながらその実状が見えてくる。

セキュリティに関する注目度は年々高まっており、企業のIT投資に占めるセキュリティの割合も増える一方だ。にもかかわらず、なぜ「セキュリティベンダ単独の存続は難しい」のか。コビエロ氏は「これまでのセキュリティ製品/サービスは事後対策的なソリューションが多かった。何か事が起きた後に、場当たり的に製品を購入したところで効果が出るわけがない。実際、いくら投資をしても、企業のIT担当者は現状のセキュリティ環境に満足できていない。我々は現在、セキュリティに対する考え方を大きく変える必要がある」と言う。

セキュリティベンダの統廃合に関して、コビエロ氏は、EMCがRSAを買収したように「ITインフラ企業がセキュリティベンダを傘下におさめていく形が良いのでは」とする。このあたり、「大きなセキュリティベンダが中小のセキュリティベンダを吸収していくのが良い」とするCheck Point Software TechnologiesのShwed CEOの意見と対照的で興味深い。コビエロ氏がこのように主張する理由は「セキュリティは、あるシステムに組み込む形で提供するよりも、もともとのインフラの上に構築するほうが、さまざまな変化にも柔軟に対応しやすい。穴があるからそれを埋めるために製品を購入する、といった手法はもう通用しない」(同氏)からだ。広範なITインフラの一環としてセキュリティソリューションが提供されれば、顧客はセキュリティをほかのシステムから切り離すことなく、共通のポリシーの下で運用できるという。

EMCという企業は"ストレージベンダ"のイメージが強いが、同社の製品/サービスはどれも"情報のライフサイクル管理(Information Lifecycle Management)"という点が重要視されている。つまり情報の重要度に適した管理をすべき、というものだ。おそらく、そのベースとなる考え方がRSAの戦略とも合ったからこそ買収に応じたのだろう。コビエロ氏は話の中で「Data is dynamic」と何度か繰り返したが、まさしくデータの価値は刻一刻と変化する。1週間前、1カ月前、1年前…と同じ価値で存在し続けることはない。ならばITベンダは、そのデータの価値に見合ったダイナミックなセキュリティソリューションを提供すべきで、そのためには「データが存在する場所を防御するのではなく、データそのものを防御する仕組みが必要」(コビエロ氏)になる。

このとき、顧客となる企業側がすべきことは「最も防御すべきデータは何か」を決めることである。最も価値あるデータに焦点を合わせる - セキュリティポリシーを策定するにあたって何よりも重要な点はそこにあると同氏は強調する。最優先で防御すべきデータが定まれば、それに伴ってポリシーが決まり、次にそのポリシーをいかに守っているか、どのようにデータを利用しているか…といった部分も、情報の価値に則した視点でチェックできるようになる。モニタリングや監査といったプロセスも無駄なく行えるはずだ。

一方でベンダ側は、"データを扱う"行為自体にセキュリティを付与する必要がある。認証、バックアップ、リストア…こういった作業中の顧客側に「この判断は正しいのか」という不安を抱かせてはいけない。EMCはインテリジェントな情報管理ソリューションとして「Smarts」などのソリューションをもつが、コビエロ氏は「もっとつきつめれば、データそのものに"考える機能"をもたせる必要が出てくるだろう」という。将来的にはデータにAI(人工知能)的な機能を付随させる仕組みが登場するかもしれない。

よく、日本企業のセキュリティポリシーの傾向は"10円の価値のものを1万円かけて守る"と揶揄されたものだが、企業内にストアするデータ量が爆発的に増大する中、すべてのデータを同じ技術、同じ強度で守ろうとすれば、コストも手間も膨大になる。コビエロ氏が言うように、今こそ、セキュリティ技術を使う側も提供する側も意識を変えるべき時期なのかもしれない。